Рафел РАТ
Неколико актера претњи, укључујући групе за сајбер шпијунажу, користе Андроид алат за даљинску администрацију отвореног кода познат као Рафел РАТ. Они га маскирају у популарне апликације као што су Инстаграм, ВхатсАпп и разне апликације за е-трговину и анти-малвер како би постигли своје штетне циљеве.
Рафел РАТ пружа овим актерима робустан алат за даљинску администрацију и контролу, олакшавајући разне злобне активности као што су крађа података и манипулација уређајима. Његове опсежне функције укључују брисање СД картица, брисање евиденције позива, пресретање обавештења, па чак и функционисање као рансомваре.
Преглед садржаја
Рафаел РАТ је откривен у бројним кампањама напада
Стручњаци за сајбер безбедност су раније истакли употребу Рафел РАТ-а од стране АПТ-Ц-35 (такође познатог као ДоНот Теам, Браинворм и Оригами Елепхант) у нападима који су искористили грешку у дизајну Фокит ПДФ Реадер-а да би заварали кориснике да преузму претеће корисне садржаје. Ова кампања, која се догодила у априлу 2024, користила је ПДФ мамце са војном тематиком за испоруку злонамерног софтвера.
Стручњаци су идентификовали око 120 различитих штетних кампања, укључујући неке које циљају на субјекте високог профила, у различитим земљама као што су Аустралија, Кина, Чешка, Француска, Немачка, Индија, Индонезија, Италија, Нови Зеланд, Пакистан, Румунија, Русија и САД
Већина жртава поседовала је Самсунг телефоне, а следе корисници Ксиаоми, Виво и Хуавеи уређаја. Значајно је да је око 87,5% заражених уређаја користило застареле верзије Андроида које више не добијају безбедносна ажурирања.
Рафел РАТ може да угрози широк спектар осетљивих података
Типични ланци напада укључују тактику друштвеног инжењеринга како би преварили жртве да дају наметљиве дозволе апликацијама зараженим малвером. Ове дозволе омогућавају малверу да прикупи осетљиве податке, укључујући контакт информације, СМС поруке (као што су 2ФА кодови), локацију, евиденцију позива и листе инсталираних апликација између осталих података.
Рафел РАТ првенствено користи ХТТП(С) за комуникацију са командом и контролом (Ц2), али такође може да користи Дисцорд АПИ-је за комуникацију са актерима претњи. Поред тога, поседује Ц2 панел заснован на ПХП-у који регистровани корисници могу да користе за издавање команди компромитованим уређајима.
Корисници Андроид-а и даље су честа мета сајбер криминалаца
Ефикасност алата међу различитим актерима претњи потврђена је његовим учешћем у операцији рансомвера коју је спровео нападач за који се верује да је из Ирана. Нападач је послао поруку за откупнину на арапском путем СМС-а, позивајући жртву у Пакистану да их контактира путем Телеграма.
Рафел РАТ представља пример развоја Андроид малвера, који се одликује дизајном отвореног кода, свеобухватним спектром функција и широком применом у разним недозвољеним активностима. Његова широка употреба наглашава важност сталне будности и проактивних безбедносних мера за заштиту Андроид уређаја од штетне експлоатације.
